springmvc+shiro 同一会话,后台获取的sessionid不一致问题

最新推荐文章于 2023-07-15 18:16:57 发布
最新推荐文章于 2023-07-15 18:16:57 发布
阅读量1.8k 收藏 3
点赞数
分类专栏: 知新 文章标签: 前端 shiro session
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lvbang_lzt/article/details/125104097
版权

问题描述:

1、表现为:SecurityUtils.getSubject().getPrincipal()为null,获取不到登录用户信息。

2、debug发现后台接收到的sessionid不一致,就是说,对于shiro来说,每个url都是一个新的会话,因此拿不到用户信息。
 

问题产生的原因还是是因为跨域。

解决办法:

1、shiro正常配置(略);

2、后端设置跨域;

3、前端设置withCredentials = true

后端设置跨域:我设置的是我自己8085

public class CorsFilter implements Filter {

    public CorsFilter() {

    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse,
                         FilterChain filterChain) throws IOException, ServletException {

        HttpServletResponse response = (HttpServletResponse) servletResponse;
        HttpServletRequest request = (HttpServletRequest) servletRequest;

        response.setHeader("Access-Control-Allow-Origin", "http://localhost:8085");
        response.setHeader("Access-Control-Allow-Methods", "GET,POST,DELETE,PUT,OPTIONS");
        response.setHeader("Access-Control-Max-Age", "86400");
        // 为true时Access-Control-Allow-Origin不能为*
        response.setHeader("Access-Control-Allow-Credentials", "true");
        // 此处为允许请求携带的所以请求头,如果要限制,可自行定义
        response.setHeader("Access-Control-Allow-Headers", request.getHeader("Access-Control-Request-Headers"));
        filterChain.doFilter(request, response);
    }

    @Override
    public void init(FilterConfig fConfig) throws ServletException {

    }

    @Override
    public void destroy() {

    }

}

PS:需要注意的是

// 为true时Access-Control-Allow-Origin不能为*
response.setHeader("Access-Control-Allow-Credentials", "true");

前端设置:我这里是agaular,vue项目或者别的前端自行搜索设置withCredentials 即可

 app.config(["$httpProvider", function($httpProvider) {
     if (!$httpProvider.defaults.headers.get) {
         $httpProvider.defaults.headers.get = {};
     }
     $httpProvider.defaults.withCredentials = true;
     // 禁用 IE AJAX 请求缓存
     $httpProvider.defaults.headers.get['If-Modified-Since'] = new Date().getTime();
     $httpProvider.defaults.headers.get['Cache-Control'] = 'no-cache';
     $httpProvider.defaults.headers.get['Pragma'] = 'no-cache';
 }]);

PS:重点就一句话,其余的可以忽略

 $httpProvider.defaults.withCredentials = true;

这样访问的时候就可以保证sessionid一致,问题解决。

再贴一下jQuery里面的:

$(function() {
        $.ajax({
            type: "get",
            url: baseUrl + "xxx",
            xhrFields: {
                withCredentials: true
            },
            cache: false,
            success: function(data) {
            	localStorage.lastname = (data.object.name).substring(0, 5);
                localStorage.userparentid = data.object.parentid;
                $("#loginname").html(localStorage.lastname);
            }
        });

    });

设置:

 xhrFields: {
                withCredentials: true
            },

每个人遇到的问题原因可能各不相同,但是解决思路就是前后端保持一致,这样就能保证sessionid一致,shiro就会正常执行。

lzh_me
关注
专栏目录
springboot项目前后端分离使用shiro的情况解决sessionid不同问题
chenyidong521的博客
08-12 1万+
遇到的问题 开发中遇到开发app或者前后端分离的项目时候,使用ajax等方式向后台访问的时候session每次都不同,这样使用shiro验证全是不能通过.原来我们使用的是token的方式,可以自己通过验证token来实现权限判断问题,但是使用shiro我们还需要自己重写权限判断.那么如何实现shiro中通过token来进行sessionid不变呢. 我们通过配置shirosession管理器来解...
解决uni-app+springboot+shiro前后端分离导致sessionId一致问题
weixin_38981756的博客
10-24 3197
srpingboot增加跨域处理的配置类 /** * 解决跨域请求的 */ @Configuration public class CorsConfig { private CorsConfiguration buildConfig() { CorsConfiguration corsConfiguration = new CorsConfiguration(); // 你需要跨域的地址 注意这里的 127.0.0.1 != localhost .
shiro session每次请求都不一样_Shiro--->02
weixin_39532466的博客
11-26 388
SSM-Shiro整合配置文件配置web.xml文件的Shiro Filter:Shiro是一个安全框架,web进行配置的时候,选择是filter标签进行安全过滤。配置applicationContext.xml文件:1、配置凭证匹配器: 注册bean标签,也就是交给Spring容器来管理。HashedCredentialsMatcher,和之前安全框架的shiro.ini的配置基本上一致。 2...
记一次蛋疼的tomcat、shiro自动生成的JESSIONID去除历程..........
hackerHL的博客
08-25 6330
近日手头上有一份蛋疼的渗透测试报告,洋洋洒洒列了几十条,本菇凉连月加班才勉勉强强,从对这些漏洞的无知,到为web打补丁、防攻击,真是心力交瘁,内忧外患。 今天遇到的漏洞,学名为:会话cookie通过URL传递 按照字面理解呢,就是JESSIONID放在url中,直接列在浏览器上,安全公司认为这是敏感信息,不宜大张旗鼓的展示。 好吧,我改。55555555555........... 先给大...
就最近一段时间,就遇到了两次session id 一直变化的,所以做个总结。
热门推荐
rendeyishi的专栏
12-27 2万+
sessionid一直变化,1跨域 2session冲突
每次request请求时变化session
weixin_30363817的博客
09-23 657
session.invalidate();//使得当前的session失效 request.getSession(true).getId();//生成一个新的session 原理: request.getSession(true)如果session存在则返回session否则生成一个session request.getSession(true)如果sessio...
shirosession问题
最新发布
2301_77664771的博客
07-15 497
原因: 默认DefaultWebSessionManager它只接受Cookie中存储的JsessionId. 查询发现再redis中不存在对应的key.客户发送请求时,再请求头中携带sessionId, 然后重写DefaultWebSessionManager中getSessionId()的方法。默认session存储再各自服务的内存中,可以让session统一存储再redis中。我们发现跨域请求,会发送两个请求:第一个OPTIONS请求,第二个请求是真实的请求。修改shiro的配置类。
sessionid一致问题
chaitong2204的博客
02-11 7893
问题是这样的,调用后端的登录接口,而且是跨域访问,在添加购物车的时候登录接口的sessionid与之前在登录页面调用接口的sessionid不一样,所以总是提示没有登录,后来在网上找了很多资料都没有解决这个问题。最后后端的小伙伴想到了一个办法,这里和大家分享一下将登录之后的session放到applicaion中  获取时再根据jsessionid在application得到session下面是前...
springmvc+shiro 同一浏览器多次请求后台controller获取sessionid不同。
flm_llx的专栏
04-22 659
问题描述:springmvc+shiro 同一浏览器多次请求后台controller获取sessionid不同。 解决办法: 修改shiro默认的cookie名字JSESSIONID为其他名字。<property name="sessionIdCookie.name" value="jsid"/> <bean id="shiroSessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionMana
springMVC+mybatis+shiro+redis 项目整合demo
10-19
`SpringMVC`、`Mybatis`、`Shiro` 和 `Redis` 是四个非常流行的开源框架,它们各自在应用程序的不同层面发挥着关键作用。这个"springMVC+mybatis+shiro+redis 项目整合demo"就是一个实例,展示了如何将这些技术集成...
SpringMVC拦截器实现监听session是否过期详解
08-28
在Java Web开发中,特别是使用SpringMVC框架时,管理用户的会话session)是确保应用安全的重要环节。为了维护会话的有效性,防止未授权访问,开发者常常需要实现监听session是否过期的功能。在SpringMVC中,可以...
springMVC+shiro实现权限管理
zsy979的博客
06-14 1061
最近使用shiro给新系统做了权限管理,在这里记录一下。 思路: 用户—>角色—>权限(资源) 前端动态路由菜单,实现精确到按钮的用户权限控制,在接口上添加@RequiresPermissions注解校验用户的权限。 问题: 项目是前后端分离的后台项目,后面可能为移动端提供服务,需要考虑保持会话问题,因为shiro是使用session存储用户信息的,使用sessionId存储在coo...
pac4j探索(二): buji-pac4j+Cas+Shiro+SpringMvc实现单点登录
hxm_Code的专栏
02-01 1万+
在pac4j探索的上一篇文章大致讲述了一下buji-pac4j+CAS的认证流程。这里记录一下本人实现的最简单的单点登录,仅作为笔记、学习交流之用,戳这里获取本文源码。一、项目框架 1、 buji-pac4j(v.3.0.0) 2、shiro (v.1.4.0) 3、springmvc (v.4.3.2) 4、CAS (v.4.2.6) 5
在IntelliJ IDEA上搭建Spring+SpringMVC+Mybatis+Shiro环境搭建(一)
sinat_33919019的博客
02-03 5396
IntelliJ IDEA 下载地址:http://www.jetbrains.com/idea/ 都是最新版本的,只要破解一个版本,其他版本可以共用,具体参考百度O(∩_∩)O Maven Reposity Maven仓库地址:http://mvnrepository.com/ 在IDEA上新建一个Project ,然后选择Maven,最后选择webapp    图1.1 第二页
springmvc集成shiro后,session、request姓汪还是姓蒋?
weixin_34150830的博客
06-18 400
2019独角兽企业重金招聘Python工程师标准>>> ...
SpringBoot前后端分离跨域导致的Sessionid一致问题解决办法
nuc2015的博客
12-16 4343
背景:最近项目进行重构,微服务架构,项目分成多个模块,在用户同步的时候发生了跨域操作。将门户模块的用户信息加密后,通过ajax请求发送给其他模块,例如meta模块,meta模块拿到加密的用户信息后进行解析,然后将用户信息保存到session中。然后发现每次请求,meta模块的sessionid都不同,导致保存在session中的用户信息无效,每次都得重新解析,某些请求是不带用户请求的,所以程序就出...
shiro重定向时URL中的JSESSIONID问题
魏晋风范
01-18 1万+
最近开始在项目中使用shiro作为权限控制,配置成功后,访问一切正常。但发现在向登录页面重定向时,URL中总是待;JSESSIONID=****,这时Session的另一种使用方式(一种是Cookie)。本来也不影响使用,但是据说这种方式有漏洞,再就是这样看着实在是不爽。那怎么去掉呢? 第一步:刚开始我以为是tomcat的问题,于是就百度了下tomcat怎么取消url中的JSESSIONID
JSESSIONID两次请求一致问题
代码改变世界
07-23 2858
目录前言情况一:Path设置情况二:跨域问题情况三:负载均衡-会话保持情况四:账号冲突 前言 出现这种情况问题无非就是:后端、前端,只要我们处理好前后端后,基本没有其他问题。 情况一:Path设置 当JSESSIONID设置的Path=/user/info.html页面时,你访问其他页面/account/info.html,JSESSIONID会发生变化,可以设置Path=/ 根目录下解决此问题。 情况二:跨域问题 import java.io.IOException; import javax.se
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值